Introduction
Pendant longtemps, la cybersécurité a été pensée comme une affaire d’outils : pare-feu, antivirus, EDR, sauvegardes, MFA, supervision, durcissement des postes. Ces briques restent essentielles. Pourtant, les incidents récents et la recherche académique montrent une réalité plus complexe : l’attaquant ne cherche pas seulement une vulnérabilité technique, il exploite aussi les comportements, les décisions, les accès, les dépendances fournisseurs et les angles morts de gouvernance.
En 2024, l’ENISA identifiait les menaces contre la disponibilité, le ransomware et les menaces contre les données parmi les principales menaces cyber en Europe, à partir de plusieurs milliers d’incidents et événements publiquement recensés. Le Verizon DBIR 2025, de son côté, indique que l’implication humaine reste présente dans environ 60 % des violations analysées, tandis que l’implication de tiers est passée de 15 % à 30 % en un an. Le même rapport souligne que le ransomware apparaît dans 44 % des violations étudiées, contre 32 % auparavant.
Ces chiffres racontent une évolution majeure : la cybersécurité ne peut plus être traitée uniquement comme un sujet technique. Elle devient un sujet de gouvernance, de culture interne, de formation et de pilotage du risque.
L’IA transforme l’ingénierie sociale en menace industrielle
Le phishing classique reposait souvent sur des signaux faibles : fautes d’orthographe, formulation approximative, adresse suspecte, urgence mal construite. Avec l’IA générative, ces signaux deviennent moins visibles. Les attaquants peuvent produire des messages crédibles, contextualisés, multilingues, adaptés au secteur, au rôle de la cible et même au ton d’une organisation.
Une revue publiée dans Artificial Intelligence Review explique que l’IA générative amplifie l’ingénierie sociale à travers trois leviers : la création de contenus réalistes, le ciblage avancé et la personnalisation, ainsi que l’automatisation de l’infrastructure d’attaque. Autrement dit, l’IA ne crée pas seulement des emails mieux rédigés : elle permet d’industrialiser la manipulation.
Le National Cyber Security Centre britannique estime également que l’IA augmentera très probablement le volume et l’impact des cyberattaques, notamment en abaissant la barrière d’entrée pour des cybercriminels moins expérimentés. Son analyse précise que l’effet le plus immédiat de l’IA concerne l’ingénierie sociale, avec des contenus frauduleux plus convaincants, moins repérables par les erreurs linguistiques traditionnelles.
Le risque ne vient donc pas seulement de la performance des modèles d’IA. Il vient de leur accessibilité. Un attaquant n’a plus besoin d’être expert en communication, en psychologie ou en rédaction pour produire un scénario convaincant. Il peut automatiser une partie de la reconnaissance, générer plusieurs variantes de messages, adapter son attaque à un profil LinkedIn, à une fonction métier ou à un contexte d’entreprise.
Le facteur humain n’est pas une faiblesse isolée : c’est un système
Dans beaucoup d’organisations, l’erreur humaine est encore présentée comme une faute individuelle : un collaborateur a cliqué, un manager a validé, un prestataire a conservé un accès, un fichier a été envoyé au mauvais destinataire. Cette lecture est trop limitée.
La recherche académique récente insiste sur une approche plus large : les comportements cyber sont influencés par la fatigue cognitive, la pression opérationnelle, la culture d’entreprise, la clarté des procédures, la qualité de la formation, la simplicité des outils et le niveau de soutien managérial. Une revue interdisciplinaire publiée en 2025 rappelle que les facteurs humains façonnent à la fois les vulnérabilités et la résilience, et qu’une stratégie efficace doit intégrer les dimensions psychologiques, organisationnelles et techniques.
Cela signifie qu’une entreprise peut être exposée non pas parce que ses équipes sont négligentes, mais parce que son environnement favorise les mauvaises décisions : trop d’alertes, procédures floues, absence de canal de signalement, manque de formation contextualisée, accès mal revus, outils d’IA non cadrés, ou gouvernance cyber limitée à la documentation.
Shadow AI : le nouvel angle mort de la cybersécurité
L’IA générative introduit aussi un risque interne : l’usage non encadré d’outils IA par les collaborateurs. Un salarié peut copier-coller un extrait de contrat, un fichier client, un code source, une analyse financière ou une donnée RH dans un outil externe, sans intention malveillante. Le problème n’est pas l’outil en soi, mais l’absence de règles, de sensibilisation, de classification des données et de contrôle des usages.
IBM évoque en 2025 un “AI oversight gap” : l’adoption de l’IA avance plus vite que les dispositifs de sécurité et de gouvernance, avec des systèmes non gouvernés plus susceptibles d’être impliqués dans des violations plus coûteuses. Le rapport indique aussi que le coût moyen mondial d’une violation de données atteint 4,4 millions de dollars en 2025.
Le DBIR 2025 observe également que 15 % des employés accèdent régulièrement à des plateformes d’IA générative depuis leurs appareils professionnels. Parmi eux, une grande partie utilise des comptes non corporate ou des comptes professionnels sans authentification intégrée, ce qui suggère des usages souvent hors politique interne.
C’est ici que la cybersécurité rejoint directement la gouvernance de l’IA. Une organisation qui déploie ou utilise l’IA sans cadre clair crée un risque de fuite de données, de non-conformité, d’erreur métier, de dépendance fournisseur et de perte de traçabilité.
La conformité donne un cadre, la gouvernance crée la résilience
Les référentiels et réglementations ne doivent pas être perçus comme une simple obligation documentaire. Bien utilisés, ils deviennent des outils de structuration. ISO/IEC 27001 définit les exigences d’un système de management de la sécurité de l’information. Elle constitue un cadre de référence pour établir, mettre en œuvre, maintenir et améliorer continuellement un SMSI, en intégrant les dimensions humaines, organisationnelles et technologiques.
→ Pour les organisations qui souhaitent structurer cette démarche, la formation ISO/IEC 27001 Lead Implementer permet d’acquérir les compétences nécessaires pour piloter la mise en œuvre d’un SMSI conforme à la norme.
ISO/IEC 42001 apporte une logique similaire pour l’intelligence artificielle. Elle spécifie les exigences d’un système de management de l’IA destiné aux organisations qui développent, fournissent ou utilisent des systèmes d’IA. L’objectif est de mieux encadrer les risques et opportunités liés à l’IA, avec une attention portée à la gouvernance, à la transparence, à la traçabilité et à l’usage responsable.
→ Dans ce contexte, la formation ISO/IEC 42001 Lead Implementer accompagne les professionnels dans la mise en place d’un système de management de l’IA structuré et opérationnel.
La réglementation européenne pousse également dans ce sens. La directive NIS 2 élargit le niveau d’exigence cyber au sein des secteurs essentiels et importants, en renforçant la gouvernance, la gestion des risques, la supervision et la responsabilité des organisations.
→ La formation NIS 2 Directive Lead Implementer permet de comprendre les exigences de la directive et de construire un programme de conformité cyber adapté.
De son côté, DORA impose au secteur financier une approche structurée de la résilience opérationnelle numérique, incluant la gestion du risque TIC, les tests de résilience, la gestion des incidents et le pilotage des prestataires tiers.
→ La formation DORA Lead Manager permet d’acquérir les compétences nécessaires pour piloter une démarche de conformité DORA et renforcer la résilience numérique des entités concernées.
La formation devient un contrôle de sécurité à part entière
La formation cyber ne doit plus être réduite à une session annuelle de sensibilisation. Face à des attaques plus personnalisées, plus rapides et plus crédibles, les collaborateurs doivent développer des réflexes opérationnels : vérifier une demande inhabituelle, signaler un email suspect, comprendre les risques liés aux données, respecter les règles d’usage de l’IA, identifier une tentative de fraude, appliquer une procédure d’escalade.
Une revue systématique publiée dans Computers & Security a analysé 142 études sur les méthodes de formation en cybersécurité. Elle conclut que la majorité des études rapportent des effets positifs des formations, tout en rappelant que les résultats varient selon les méthodes, les publics, les formats et la qualité des dispositifs d’évaluation.
La formation efficace doit donc être continue, contextualisée et adaptée aux rôles. Un comité de direction n’a pas les mêmes besoins qu’une équipe commerciale, un service RH, une équipe IT, un RSSI, un DPO ou des développeurs. Les risques ne sont pas les mêmes, les décisions non plus.
Une étude Delphi publiée en 2025 dans le Journal of Innovation & Knowledge insiste sur plusieurs actions managériales : développer une culture organisationnelle qui valorise la cybersécurité, clarifier les rôles et responsabilités, et favoriser l’apprentissage continu. Cette approche déplace le regard : l’humain ne doit pas seulement être considéré comme une source de risque, mais comme un levier actif de défense.
Ce que les entreprises doivent mettre en place dès maintenant
La priorité n’est pas d’ajouter un outil de plus à une architecture déjà complexe. La priorité est de relier les outils, les processus et les comportements dans un système cohérent. Une organisation mature doit être capable de cartographier ses actifs critiques, ses accès sensibles, ses dépendances fournisseurs et ses usages IA. Elle doit aussi définir des règles claires : quelles données peuvent être utilisées dans un outil IA, quels usages sont interdits, quels contrôles sont nécessaires, qui valide les exceptions, comment les incidents sont signalés, quelles preuves doivent être conservées.
Elle doit également tester ses procédures. Un plan de réponse à incident non testé reste théorique. Une politique IA non connue des équipes reste fragile. Une sensibilisation sans mise en situation produit rarement des réflexes durables. Les simulations de phishing, les exercices de crise, les ateliers de gestion des risques, les revues d’accès et les formations ciblées deviennent des mécanismes de résilience.
Enfin, la gouvernance cyber doit produire des preuves : décisions tracées, politiques validées, formations suivies, incidents analysés, risques réévalués, actions correctives documentées, fournisseurs contrôlés. C’est cette capacité de preuve qui transforme la conformité en pilotage réel.
Conclusion : la cybersécurité de demain sera socio-technique
Les cyberattaques modernes exploitent une combinaison de failles : techniques, humaines, organisationnelles et réglementaires. L’IA accélère cette dynamique en rendant les attaques plus crédibles, plus personnalisées et plus accessibles. Dans ce contexte, la cybersécurité ne peut plus reposer uniquement sur la technologie.
La résilience cyber se construit à l’intersection de trois piliers : une gouvernance claire, des dispositifs techniques maîtrisés et des équipes formées. Les normes comme ISO/IEC 27001 et ISO/IEC 42001, les cadres réglementaires comme NIS2 et DORA, ainsi que les méthodes de gestion des risques, permettent de structurer cette démarche. Mais leur valeur dépend de leur mise en pratique.
La prochaine grande faille ne viendra peut-être pas d’un serveur mal configuré. Elle viendra peut-être d’un usage IA non encadré, d’un prestataire oublié, d’un accès non revu, d’un collaborateur non formé ou d’une décision non tracée. Sécuriser aujourd’hui, transformer demain : c’est précisément l’enjeu d’une cybersécurité gouvernée, opérationnelle et humaine.
DEVFORMA accompagne les organisations dans la montée en compétences de leurs équipes et la structuration de leur gouvernance cyber : formations certifiantes, ateliers pratiques, ISO/IEC 27001, ISO/IEC 42001, EBIOS Risk Manager, NIS2, DORA et sensibilisation des collaborateurs.
